Il Garante Privacy ha emanato un provvedimento correttivo urgente a carico di Aruba PEC spa; questo si è reso necessario a seguito di accertamenti, svolti dall’Autorità di Controllo nel secondo semestre 2019, “anche a seguito dei numerosi casi di data breach notificati al Garante da diversi titolari di caselle PEC, riguardanti la perdita o la procurata indisponibilità di dati personali a seguito della ricezione di messaggi PEC contenenti allegati infetti da virus informatici“.
Dai controlli effettuati è emerso che:
- circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale, scelta per loro da uno degli 8.900 partner della società (come ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso;
- le procedure informatiche adottate contenevano ulteriori gravi vulnerabilità; ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico;
- inoltre, si è evidenziata la possibilità di consultare ed esportare, da rete Internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec; tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.
L’Autorità di Controllo italiana ha atteso a pubblicare il provvedimento per dare il tempo ad Aruba PEC spa di metterlo in atto. Aruba PEC spa ha comunicato di aver adempiuto.
Con successivo provvedimento il Garante valuterà ulteriori aspetti del trattamento dei dati svolto da Aruba Pec S.p.A., nonché il complesso delle violazioni rilevate.
Consiglio a tutti coloro che hanno una PEC presso il gestore ARUBA PEC spa, di cambiare immediatamente la password, ivi compreso quella dell’utente postmaster (qualora esistente); daltronde questa è una attività che dovrebbe essere fatta periodicamente.
Aggiornamento: Aruba comunica che “nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password”.